在役装置安全仪表功能回路SIL评估及应用

陈志飞

(中国石化长城能源化工(宁夏)有限公司，宁夏 银川 750041)

安全仪表系统(SIS)是广泛应用于过程工业危险装置中的保护系统，事实上很多化工企业虽配置了相应的SIS，解决了安全功能问题，但安全功能是否能可靠执行不得而知，反观之前则更侧重于SIS的有无问题，很少涉及安全完整性等级(SIL)评估问题。实际上SIL等级作为SIS中的重要组成部分，在IEC61508[1]和IEC61511[2]或者对应中国标准中都有详细规定,特别对在役的“两重点一重大”生产装置或设施[3]开展安全仪表功能(SIF)回路SIL等级评估有着重大的安全意义。

1 SIL相关概念

1.1 SIL等级划分

SIL等级一般分为SIL1～SIL4，其中SIL4等级最高，过程工业SIF回路一般不会超过SIL3。SIL等级针对SIF回路而言包括： 传感器、逻辑控制器和执行机构三个部分，采用平均失效概率(PFDavg)衡量，PFDavg与SIL对应等级见文献[4]所列，计算如式(1)所示：

PFDavg=∑PFDS+∑PFDL+∑PFDFE

(1)

式中：PFDS——传感器平均失效概率；PFDL——逻辑控制器平均失效概率；PFDFE——执行机构平均失效概率。

1.2 硬件结构约束

硬件结构约束的安全完整性由仪表类型、安全失效分数(SFF)和硬件故障裕度(HFT)共同决定。在SIL等级评估中考虑到系统性失效对安全完整性的影响，以及随机失效率数据的准确性等因素，有必要从结构配置上做出最低约束和限制。

A类设备是指结构简单的设备如继电器、压力开关、阀门、安全栅等；B类设备指结构复杂，或者采用处理器技术的设备如DCS，PLC，智能变送器等[5]。文献[6]中A类安全相关子系统结构约束要求见表1所列，B类安全相关子系统结构约束要求见表2所列。

表1 A类安全相关子系统结构约束要求

表2 B类安全相关子系统结构约束要求

2 SIL评估内容

SIL评估是根据功能安全标准IEC61508和IEC61511进行。主要分为SIL定级和SIL验证。

SIL定级是辨识SIF并确定SIF回路的SIL等级，主要采用保护层分析(LOPA)、风险图等分析方法，以下着重介绍LOPA分析方法。

(2)

SIL验证从回路PFDavg和硬件结构约束两个方面验证是否满足目标要求，结果取两者的最小值。结构约束根据表1和表2确定，PFDavg建模计算主要有可靠性分析、马尔可夫模型法等，以下着重讲解可靠性分析原理。

可靠性分析是更具有鲁棒性的可能性建模办法，相对马尔可夫模型法而言更加简单[8]，分析方法如图1所示，垂直排列的代表并行路径(与逻辑)，水平排列的代表串行路径(或逻辑)。

图1 可靠性分析方法示意

3 SIL评估技术在水煤浆气化装置上的应用

3.1 工艺简介

某公司气化装置采用GE水煤浆技术，包括煤运、煤浆制备、气化、灰水处理和变换等工艺过程，气化装置主要将来自空分装置的氧气和煤浆制备装置送来的煤浆在气化炉内进行部分氧化反应生成粗合成气，粗合成气洗涤除尘后进行变换，其有效成分为CO和H2，一部分合成气经变换部分后送往低温甲醇洗工段，另一部分合成气经未变换部分送往 CO 深冷分离工段。

3.2 SIL定级

在开展SIL定级之前应先确定风险矩阵，本次评估采用中国石化标准风险矩阵图[9]，从健康与安全影响、财产损失影响、非财产性与社会影响、环境影响4个维度来确定SIL等级。

SIL定级由工艺、设备和仪表等各专业共同参与讨论分析，与HAZOP较为类似，现以氧煤比高高导致气化炉氧含量过高，引发气化炉爆炸，造成人员伤亡，设备毁坏的后果为例，结合风险矩阵，确定相应后果等级见表3所列。

表3 氧煤比高高报警风险等级

接下来采用LOPA分析计算未增加SIS时的风险概率，根据分析，引起氧煤比高高报警初始事件有四个，包括： 空分来的氧气压力高，氧气流量控制阀FV1307误操作开度过大，高压煤浆管线堵塞和高压煤浆泵不打量等。现以初始事件FV1307阀误操作开度过大为例，假设人员暴露概率为0.5,LOPA事件树如图2所示。

图2 LOPA事件树示意

根据公式(2)可计算出：

根据中石化风险矩阵可知，在现有的措施下，事件发生频率为(10-3～10-2)/a，可能性为5，具体风险等级确定见表4所列。

表4 未减缓前的风险等级和目标等级

根据文献[4]可知，该SIF回路的SIL等级为SIL3，其他维度等级计算结果见表5所列，按就高原则最终定级为SIL3。

表5 氧煤比高高报警SIL等级

根据上述方法，气化单元SIF回路共有36个，其中SIL3级有1个，SIL2级有8个，SIL1级有8个，SIL0级有19个。

3.3 SIL验算

根据SIL定级结果，共有17个SIF回路达到SIL1及以上，SIL 验算主要内容包括：

1)确定回路所包括的仪表设备、设备类型，规格及厂家等参数，各类失效率数据λ。

2)建立可靠性框图及计算PFDavg。

3)对达不到目标等级的回路进行敏感性分析，提出合理化建议方案。

以氧煤比高高报警为例，详细阐述SIL验算过程，各部件SIL认证参数见表6所列。

表6 各部件SIL认证参数

关于PFDavg的计算方法，ISA TR84.00.02与IEC 61508的规定稍有不同，但计算结果大致相同[10]，以下采用ISA TR84.00.02的计算方法。

“1oo1”计算公式如式(3)所示：

(3)

“1oo2”计算公式如式(4)所示：

(4)

“2oo3”计算公式如式(5)所示：

(5)

式中：TI——测试周期；MTTR——平均修复时间；β——公共故障系数；λDD——可检测到的危险故障；λDU——未检测到的危险的故障。

该验算取：β=0.06，MTTR=24 h，TI=4 a，该计算采用的可靠性分析方法如图3所示。

图3 可靠性分析方法示意

具体计算过程如下：

氧气流量回路PFDavg=68×10-9×16×
8 760+3×376×10-9×68×10-9×24×
4×8 760+0.06×68×10-9×2×
8 760=9.6×10-3

煤浆流量回路PFDavg=206×10-9×16×
8 760+3×1 279×10-9×206×10-9×
24×4×8 760+0.06×206×10-9×
2×8 760=2.9×10-2

PFDS=9.6×10-3×2.9×10-2=
2.784×10-4

PFDL=1.934×10-4

PFDFE=3.430×10-7

∑PFDavg=PFDS+PFDL+

PFDFE=4.721×10-4

验证结果见表7所列。

表7 验证结果

经验证17个SIF回路满足均验算要求。

4 SIL评估技术应用拓展

SIL评估作为SIS全生命周期管理的一部分，越来越受设计院和最终用户的重视，其应用和指导意义在仪表管理中也得到充分体现，主要有以下方面：

1)防止过度保护、欠保护设计，节约投资。如气化装置SIF回路共有36个，因前期未开展SIL评估，SIF回路全部设计进SIS，本次评估在SIL1及以上的回路其实只有17个，SIL1以下回路19个，按照相关标准SIL1以下完全可以在DCS实现，相比SIS的配置要求，采用DCS设计同等条件下至少可节约33.3%的投资。

2)指导开展仪表及控制系统预防性维护，设备选型等。从PFDavg计算公式看影响计算结果有TI，β，λDU等因素。因此改变测试周期，采用不同检测原理的仪表，采用自诊断率高的仪表或者经SIL认证的，失效率也会得到有效管控。

3)联锁改造的评估。从装置设计初期看，基于各种因素都不可避免会采用单点联锁，容易造成装置停车，所以在安全等级不高但要求可靠性高的场所会考虑2oo2或者2oo3的方式[11]，但是否可行，此时就可以通过SIL评估来科学指导和判断。

5 结束语

国内功能安全评估尚处于起步阶段，可靠性数据缺乏，在SIL评估中完全依赖SIL证书数据会影响评估结果，因此对在役装置要着重完善现场可靠性数据收集和功能规格书(SRS)等，科学合理利用评估结果来指导仪表及控制系统管理，确保装置安全可靠运行。